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Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

(5) Frankiereinrichtung und ein Verfahren zur Erzeugung giiltiger Daten fur Frankierabdrucke 

@ Eine Frankiereinrichtung (10) fur ein kleines Postauf- 
kommen besteht aus einem Computer (1) und mit einem 
angeschlossenen Drucker (17), wobei der Computer ei- 
nen Speicher (13) mit einer lokalen Datenbank fur Post- 
empfangeradreftdateien uber ein Ko mmunikationsmittel 
(15) mit einer Datenzentrale (20) verbunden ist, welche 21 
eine zentrale Datenbank (23) aufweist. Der Computer (1 1 ) , 
ist entsprechend programmiert, daS Anforderungsdaten | \ 

gebildet und zur Datenzentrale ubermittelt und angefor- 
derte zuruckubermittelte Daten empfangen und gespei- 
chert werden. Das Verfahren zur Erzeugung gultiger Da- so 
ten fur Frankierabdrucke umfaRt dabei folgende Schritte: 

- Bildung und Ubermittlung von Anforderungsdaten fur 
eine Signatur, 

- Verifikation von ubermittelten Daten in einer Datenzen- 
trale (20), 

- Erzeugung einer Signatur auf der Basis verifizierter Da- 
ten unter Verwendung eines asymmetrischen Kryptoal- 
gorithmus und geheimen privaten Schlussels, sowie 

- Ruckubermittlung der verifizierten Daten und der Signa- 
tur zur Frankiereinrichtung (10), wobei die Authetizitat der 
zuruckubermittelten Daten anhand der Signatur unter 
Verwendung eines offentlichen Schlussels uberprufbar 
ist, sowie 

- Speicherung authentischer empfangener Daten in der 
lokalen Datenbank (13). 
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Beschreibung 



Die Erfindung betrifft eine Frankiereinrichtung und ein 
Verfahren zur Erzeugung giiltiger Datcn fur Frankierab- 
drucke gemaB des OberbegrifFs des Anspruchs 1 bezie- 
hungsweise des Anspruchs 4. Die Frankiereinrichtung ist 
insbesondere im Heimbereich und fur Anwender geeignet, 
die nur wenig Poststiicke versenden. 

In der DE 40 18 166 C2 wurde bereits fiir solche Anwen- 
der mit geringem Postgutaufkommen ein Frankiermodul fiir 
einen Person alcomputer vorgeschlagen, in dessen Slot eines 
Laufwerkeinschubes das Frankiermodul angeordnet ist, 
welches sowohl das Frankieren als auch das Adressieren 
von Briefurnschlagen gestattet. Ein solches Frankiermodul 
ist von einem gesicherten Gehause umgeben und hat schal- 
tungstechnisch den gleichen Aufbau, wie eine Frankierma- 
schine, bei welcher die Brieftransportvorrichtung eingespart 
wird. Es versteht sich von selbst, daB ein derartig abgeriiste- 
tes Frankiermodul billiger angeboten werden kann, als eine 
Frankiermaschine. 

Durch den Einsatz des Frankiermoduls kann die Abrech- 
nung der Frankierung und das Drucken des Frankierstern- 
pelbildes nicht von extern manipuliert werden. Die AdreB- 
daten werden von einem vom Personalcomputer verwalteten 
Speicher gelesen und uber das interne Informationsnetz dem 
Frankiermodul zugefiihrt. Dabei ist allerdings nicht ausge- 
schlossen, daB fehlerhafte AdreBdaten letztendlich dazu 
fiihren, daB der Postbeforderer das Poststiick nur schwer 
oder gar nicht dem Postempfanger zustellen kann. Bei ei- 
nem digitalen Druckverfahren ist es schwer festzustellen, ob 
das gedruckte Frankierstempelbild nicht bloB eine unabge- 
rechnete Kopie eines friiheren Abdruckes ist und mit einer 
gewiinschten anderen Adresse kombiniert wurde. Deshalb 
werden spezielle rote fluoreszierenden Tinten vorgeschrie- 
ben, welche schwer zu kopieren sind. Durch die inzwischen 
erreichten Fortschritte bei Farbkopierem und Farbdruckem 
kann eine derartige MaBnahme nicht mehr als emst zuneh- 
mendes Hindernis gelten, gefalsche unabgerechnete Ab- 
drucke herzustellen. 

Gewdhnlich ist am Personalcomputer auch ein Drucker 
angeschlossen, mit dem heutzutage nicht nur Briefe ausge- 
druckt, sondern auch Adressen auf Kuverte gedruckt werden 
konnen. Grundsatzlich kann damit auch das Kuvert frankiert 
werden. Es ist jedoch schwierig bei solchen offenen Syste- 
rnen eine Manipulation zu verhindern. Uber die ungesicher- 
ten Verbindungsleitungen, konnte namlich ein Manipulator 
in Falschungsabsicht versuchen, Daten in das System einzu- 
speisen, indem er vortauscht, sie kamen von der dazu auto- 
risierten S telle. 

Die US-Postbehorde hat einen im Jahre 1996 veroffent- 
lichten Katalog mit Anforderungen an die Konstruktion von 
zukiinftigen sicheren Frankiersystemen aufgestellt (Infor- 
mation based Indicia Program IB IP). Darin wird angeregt, 
bestimmte Daten kryptografisch zu verschliissen und in 
Form einer digitalen Unterschrift auf den zu frankierenden 
Brief zu drucken, anhand derer die Postbehorde die Echtheit 
von Frankierabdrucken iiberpriifen kann. Bei der US-Post- 
behorde entsteht nach geschatzten Angaben durch Betrug 
ein jahrlicher Schaden von ca. 200 Millionen US-S. Diese 
Anforderungen sind nach Art der Frankiereinrichtung diffe- 
renziert worden. Traditionelle Frankiermaschinen, welche 
in der Regel nur einen Frankierstempel in Rot aufdrucken 
werden auch als "closed systems" bezeichnet und brauchen 
anders als bei sogenannten "open systems" (PC-Frankierer) 
die entsprechende Briefadresse nicht in die Verschliisselung 
mit einbeziehen. Fiir open systems ist jedoch weiterhin ein 
Sicherheitsmodul mit fortschrittlicher Kryptotechnologie 
und gesichertem Gehause vorgeschrieben, in welches Daten 



der Datenzentxale eingespeichert werden konnen. 

Aus der US 5.625.839 ist das Senden einer Update- Infor- 
mation als Datenpaket an eine Frankiermaschine bekannt. 
Mit einer CRC-Priifsumme kann zwar die Fehlerfreiheit der 
5 Datenubermittlung gepruft werden, was jedoch noch nichts 
uber die Richtigkeit des iibermittelten Dateninhaltes selbst 
aussagt. Ein Problem konnte wegen der ungesicherten Ver- 
bindungsleitung entstehen, wenn namlich ein Manipulator 
in Falschungsabsicht versucht, Daten in die Frankierma- 

10 schine einzuspeichern, indem er vortauscht, sie kamen von 
der Datenzentxale. 

In der DE 38 40 041 Al wurde deshalb bereits eine An- 
ordnung vorgeschlagen, in welcher eine Frankiereinrichtung 
uber eine standig in Betrieb befindliche TEMEX-Standlei- 

15 tung mit einem Zentralrechner verbunden ist. Der Post- 
kunde gibt in. die Frankiereinrichtung den gewiinschten 
Frankierwert ein. Letzterer wird zum Zentralrechner iiber- 
tragen, welcher mit einem Giro-Rechner verbunden ist, bei 
welchem der Kunde ein Postgiro-Konto hat. Nach einer 

20 Deckungspriifung nimmt der Giro-Rechner die Abrechnung 
vor und der Zentralrechner gibt die Frankierfunktion frei. 
Auch die Frankiereinrichtung selbst besitzt zus'atzlich posta- 
lische Speicher, welche aufgrund des Daten verbundes abge- 
fragt werden konnen und eine zusatzliche Sicherheit vor Da- 

25 tenverlust im Falle eines Rechnerausfalls bieten. Der Zen- 
tralrechner lost einen Alarm aus, wenn diese Staridleitung 
unerlaubt angezapft oder unterbrochen wird. Es ist aller- 
dings aufwendig und somit nicht uberall moglich, eine sol- 
che spezielle gesicherte Lei tung einzusetzen. 

30 Aus dem EP 373 971 Bl ist ein Kommunikationssystem 
bekannt, mit einem Ubermitteln von Adressendaten von ei- 
ner lokalen zu einer zentralen Datenbank in einer Datenzen- 
trale, ein Aktualisieren der gespeicherten Adressendaten in 
der einer zentralen Datenbank der Datenzentrale anhand der 

35 ubermittelten Adressendaten und ein Modifizieren der 
Adressendaten der im System vorhandenen lokalen Daten- 
banken anhand der aktualisierten Daten der Datenzentrale. 
Damit wird zwar ein Gleichhalten der Daten in jeder lokalen 
Datenbank entsprechend einer zentralen Datenbank erreicht. 

40 Bei einer ungesicherten Verbindungsleitung kann aber nicht 
verhindert werden, daB eine unrichtige Adresse in der zen- 
tralen Datenbank der Datenzentrale gespeichert und von 
dort auf die jeweilige lokale Datenbank der weiteren Benut- 
zer iibertragen wird. 

45 In der EP 782 296 A2 wurde zum Abrufen eines Zerufi- 
kates von einem Adressenbuchspeicher uber eine ungesi- 
cherte Kommunikationsverbindung zwar ein Public Key- 
Verfahren vorgeschlagen, jedoch kann damit nur gesichert 
werden, daB die ubermittelte Nachricht authentisch ist. So- 

50 mit konnte ebensogut auch eine gefalschte Nachricht iiber- 
mittelt werden, deren Zertiflkat aber echt ist. 

In frankierenden System en kornmt es neben der Richtig- 
keit und Echtheit einer Nachricht zugleich auf die richtige 
Abrechnung an. Es ist deshab schon eine Portobox in einem 

55 Terminal (US 5,233,657) bzw. ein gesichertes Modul 
(US 5,625,694) vorgeschlagen worden, in welchem die Ab- 
rechnungsdaten gespeichert werden. 

Das Terminal gemaB der in der US 5,233,657 vorgeschla- 
genen Losung, wird als Fax- und Frankiergerat genutzu wo- 

60 bei wesentliche Frankierbilddaten von einer Datenzentrale 
angefordert werden und dann mit anderen Bilddaten, welche 
im Terminal gespeichert sind, als Frankierabdruck vervoll- 
standigt ausgedruckt werden. Die Kommunikauon zwischen 
Terminal und Datenzentrale wird durch ein kryptosraphi- 

65 sches Verfahren gesichert, z. B. nach dem bekannten RSA- 
Verfahren. Aus den das Terminal kennzeichnenden Daten 
wird von der Zentralverarbeiiungseinheit des Terminals ein 
Sicherungscode erzeugt und gemeinsam mit dem Frankier- 
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wert abgedruckt Nachteilig ist die langwierige Rechenar- 
beit, welche die Zentralverarbeilungseinheit durchfiihren 
rnuB, einerseits wenn Bilddaten nach dem RSA-Verfahren 
entschliisselt werden und andererseits wenn der Sicherung- 
scode erzeugt wird. 

In der US 5,625,694 wird ein Computer mit einem gesi- 
cherten Modul ausgeriistet. Bei einer Anforderung einer di- 
gitalen Unterschrift an ein solches gesicherles Modul, wobei 
die Anforderung in Abhangigkeit einer Anderung bezuglich 
des eingegebenen Frankierwertes und einer Empfangerad- 
resse erfolgt, generiert das gesicherte Modul dann einerseits 
eine entsprechende digitale Unterschrift und iibermittelt 
diese an den Mikroprozessor des Computers, aber fiihrt an- 
dererseits auch. die Abrechnung durch. Der Mikroprozessor 
des Computers generiert dann einDruckbild entsprechend 
des Frankierwertes und der Empfangeradresse sowie der 
ubermittelten Signatur. Eine Signatur wird nur dann nicht 
vom gesicherten Modul angefordert, wenn weder der Fran- 
kierwert noch die Adresse geandert wird. Eine Kopie dessel- 
ben Abdruckes wird somit nicht im gesichertem Modul mit- 
abgerechnet. Dem Postbeforderer obliegt die Authentizitats- 
priifung fur jedes einzelne Poststiick. Auch geringste Unter- 
schiede in der Adresse wirken sich auf die Signatur aus. Es 
ist jedoch nicht sicher, daB vom Benutzer die Eingabe einer 
gultigen Empfangeradresse erfolgt. Ein mit einer ungultigen 
Empfangeradresse versehenes Poststiick kann u. U. nicht 
zugestellt werden, obwohl es mit einem giiltigem Porto fran- 
kiert worden ist und das Porto ordnungsgemafi im gesicher- 
ten Modul abgerechnet wurde, weil die Adresse nachtrag- 
lich nicht korrigierbar ist. Aufwendig ist bei alien vorge- 
nannten Losungen die Notwendigkeit der Anordnung eines 
gesicherten Moduls im Endgerat. 

Aufgabe ist es, eine Low-end-Fran kiereinrichtung mit ei- 
ner lokalen Datenbank zu schafTen, wobei in der lokalen Da- 
tenbank der Frankiereinrichtung gultige Adressen gespei- 
chert sind. Weiterhin soil ein Verfahren zur Erzeugung gul- 
tiger Daten fur Frankierabdrucke angegeben werden, so daB 
im Ergebnis gultige Frankierwerte mit gultigen Adressen 
zusammen mit einer Signatur auf das Poststiick gedruckt 
werden konnen. 

Die Aufgabe wird mit den Merkmalen der Anspruche 1 
und 4 gelost. 

Die Notwendigkeit der Anordnung eines gesicherten Mo- 
duls im Endgerat entfallt. Damit entfallt auch die Notwen- 
digkeit ein Guthaben in das Endgerat nachzuladen und die 
Kommunikation entsprechend sicher vor Manipulation des 
Guthabens zu gestalten. ErfindungsgemaB wird eine digitale 
Signatur in einer Datenzentrale eines Herstellers vonTFran 1 
klersystemen bzw. eines Postbeforderers erzeugt. Die Kom- 
munikation rnit der Datenzentrale ist relativ kurz, da die 
ubermittelten Klardaten weder Bilddaten umfassen noch 
alle Daten verschliisselt werden, sondern neben den Klarda- 
ten nur eine relativ kurze Signatur zuriickubermittelt wird. 
Vorteilhaft ist weiterhin die Dienstleistung der Datenzen- 
trale bezuglich einer Korrektur einer fehlerhaft eingegebe- 
nen Postempfangeradresse. Somit konnen Fehlfrankierun- 
gen vermieden werden. In einer Variante kann als zusatzli- 
che Dienstleistung von der Datenzentrale eine Portoberech- 
nung nach giiltigem Tarif vorgenommen werden. Guns tig ist 
auch fur die Manipulations sicherheit, dafi geheime Schliis- 
sel und andere sicherheitsrelevante Daten nur in der Daten- 
zentrale gespeichert sind und nach extern nicht ausgelesen 
werden konnen. Der Abdruck der ubermittelten Daten auf 
das Poststiick kann auch zu einem beliebig spateren Zeit- 
punkt erfolgen. Fur die exteme Bilderzeugung aus den uber- 
mittelten Daten exisu'eren keine Einschrankungen. So kon- 
nen unterschiedliche Druckverfahren zum Einsatz kommen. 
Den unterschiedlichcn Einsatzbedingungen und Anforde- 
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rungen der einzelnen Postbeforderer kann so am bcsten ent- 
sprochen werden. 

Vorteilhafte Weiterbildungen der Erfindung sind in den 
Unteran sprue hen gekennzeichnet bzw. werden nachstehend 
zusammen mit der Beschreibung der bevorzugten Ausfuh- 
rung der Erfindung anhand der Figuren naher dargestellt. Es 
zeigen: 

Fig. 1, Blockschaltbild fur die Frankiereinrichtung und 
die Datenzentrale, 

Fig. 2, Beispiel fur einen Abdruck auf einem Poststiick. 

Im Blockschaltbild gernaB Fig. 1 ist eine Datenzentrale 
20 mit Frankiereinrichtungen 10 und 30 und mit einer Pru- 
fungsstelle 50, beispielsweise im Postamt, des Postbeforde- 
rers iiber ein Kommunikationsnetz 40 komrnunikativ ver- 
bunden. 

Die Frankiereinrichtung 10 ist als ein von einem ersten 
Computer 11 gesteuerter digitaler Drucker 17 ausgebildet, 
welcher mindestens Briefumschlage eines Formates bedruk- 
ken kann. Beispielsweise ist ein Person alcomputer PC 1 ei- 
nerseits iiber ein ungesichertes Kabel 16 mit dem Drucker 
17 verbunden und kann andererseits via Modem 15 und 
Kommunikationsnetz 40 mit der Datenzentrale 20 on-line 
eine Kommunikationsverbindung aufnehmen. Mit dem er- 
sten Computer 11 sind ein Festplattenspeicher 13 fiir eine lo- 
kale Datenbank, eine Tastatur 14 und eine Anzeigeeinheit 
12 verbunden. Durch die letztgenannten Ein/Ausgabernittel 
12 und 14 konnen entsprechende Eingaben getatigt und 
sichtbar gernacht bzw. die weitere Programmabarbeitung 
iiberwacht werden. Wahrend der on-line Verbindung erfolgt 
eine Abstimmung des Datenbestandes der lokalen Daten- 
bank und eine Speicherung der ubermittelten Daten. Die Er- 
zeugung von Abdrucken auf der Basis der ubermittelten ge- 
speicherten Daten kann zu einem spateren Zeitpunkt erfol- 
gen. 

Die Datenzentrale 20 besteht aus einem zweiten Compu- 
ter 21, vorzugsweise ein Person alcomputer PC 2, mit ange- 
schlossenen Ein/Ausgabemitteln 22 und 24, einer Festplatte 
23 und mindestens einem Modem 25. Die Festplatte 23 spei- 
chert spezielle Diensdeistungsprogramme und Buchungs- 
bzw. Abrechnungsdaten fiir Diensdeistungen, welche fiir ei- 
nen Kunden erbracht werden. 

Auf die Festplatte 13 des ersten Personalcomputers PC 1 
ist ein entsprechendes Anwendungsprogramm geladen, wel- 
ches auf die Bedurfnisse der Benutzer fiir soho (smal office 
& home office) Markte zugeschnitten ist. In einem solchen 
Markt kommt es nicht auf die Stuckzahl frankierter Briefe 
pro Zeiteinheit an, sondern nur auf geringen Aufwand bei 
moderaten Kosten. Eine bloBe Nachricht konnte zwar per e- 
mail verschickt werden. Doch in der Praxis sollen auch uni- 
kate Orginale an Bildem, Fotos, Biichem, Stoffe usw. in ei- 
nem Umschlag kuvertiert verschickt werden. Die Erfindung 
geht deshalb davon aus, daB das Grundsystem bestehend aus 
einem Computer und Drucker bereits beim Benutzer vor- 
handen ist. Nur dann kann im Endgerat auf zusatzliche und 
teure Hardware-Komponenten, beispielsweise auf ein Si- 
cherheitsmodul, verzichtet werden, wenn das Frankiersy- 
stem entsprechend erfindung sgemaB ausgebildet ist. Der 
Ccuiiputer-mufi-zur-V erarbeitung moderner Kryptotechnolo^ 
g^en^rj^waremaBig mit einem schnellen modernen Prozes- 
sor und geniigend Speicherplatz ausgeriistet sein. 

Die Erfindung setzt weiterhin voraus, daB Kommunikati- 
onsverbindungen iiber das Netz 40, beispielsweise solche 
via Internet, WWW (Word Wide Web) oder ISDN, zukunf- 
tig kostengiinsdg hergestellt werden konnen. 

Die Erfindung besteht darin, daB die Datenzentrale an- 
hand einer auf der Festplatte 23 geschaffenen zentralen Da- 
tenbank die Gultigkeit einer Postempfangeradresse uber- (vT 1 ^ * > ^' A 
priift und gegebenenfalls herstellt, daB aber die Frankierein- 
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richtung vor einer Speicherung in der lokalen Datenbank die 
Authentizitat einer ubermittelten Postempfangeradresse 
iiberpruft. Dabei wird ein offentiicher Schliissel verwendet, 
welcher vorzugsweise zusarnmen mit der giiliigen Postemp- 
fangeradresse und mit der Signatur von der richtigen Daten- 
zentrale ubermittelt wird. Keine andere als nur die richtige 
Datenzentrale kann die authentische Signatur erzeugen. 

Die Uberprufung der Giiltigkeit einer Adresse setzt eine 
Pflege der AdreBdateien der zentralen Datenbank durch ei- 
nen Postbeforderer bzw. durch einen dazu vom Postbeforde- 
rer beauftragten Dienst voraus. Zur Deckung der dadurch 
entstehenden Kosten wird die Nutzung der AdreBdateien 
durch externe Benutzer als kostenpflichtige Dienstleistung 
dem Benutzer in Anrechnung gebracht. 

Zur Durchfiihrung der Uberprufung wird mindestens die 
zu druckende Postempfangeradresse (Anschrift) zunachst 
an vorgenannte Datenzentrale ubermittelt. Eine falsche 
Schreibweise der Anschrift kann automatisch anhand der 
Postleitzahl oder eines ahnlichen Bestimmungscode korri- 
giert werden, wenn zu letzterem eine entsprechende Datei in 
der zentralen Datenbank existiert. Das gilt auch umgekehrt. 
1st jedoch eine automatische Korrektur nicht moglich, wird 
der Benutzer daniber informiert und aufgefordert die 
Adresse korrekt einzugeben. Nach der Uberprufung wird ein 
dem giiltigen Tarif entsprechender Postwert und die giiltige, 
eventuell zuvor korrigierte, Anschrift mit Postleitzahl an die 
Frankiereinrichtung zuruckubermittelt, wobei die zuriick- 
ubermittelten Daten mittels einer Signatur miteinander ver- 
kniipft sind. Als Zwischenschritt wird eine Nachricht aus 
^y/den zu iibermittelnden Daten erzeugt, indem eine spezielle 
UA/lty mathematische Funktion zur Anwendung kommt, welche 
die zu verschliisselnde Datenmenge reduziert. Die Signatur 
wird durch Verschlusselung der Nachricht mit einem gehei- 
men privaten Schliissel nach einem bekannten nichtsymme- 
trischen Verschlusselungsalgorithmus erzeugt. 

Ein geeigneter bekannter asymmetrischer Verschlussel- 
ungsalgorithmus ist beispielsweise der Digital Signatur Al- 
gorithms (DSA), ein Elliptic Curve Digital Signatur Algo- 
rithrnus (ECDSA) oder der ELGamal Algorithmus (ELGA). 
1 4 f t- h / Diesen Signatur Algorithmen ist ein Schliisselpaar gemein- 
\ 1 Uuf sam, welches einen privaten und offentlichen Schliissel um- 
mU4 V\ C V ^^%aBt. Der private Schliissel ist ein geheimer nicht nach ex- 
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v tern auslesbarer Schreibschliissel. Und der offentliche 
Schliissel fungiert als Leseschliissel fur die Signatur und ist 
jederrnann zuganglich. 

In der nicht vorveroffentlichten deutschen Anmeldung 
mit dem Tltel: "Verfahren fur eine digital druckende Fran- 
kiermaschine zur Erzeugung und Uberprufung eines Sicher- 
heitsabdruckes", wurden derartige asymmetrische Ver- 
schlusselungsalgorithmen auf "closed systems" angewendet 
naher erlautert. Auf der Frankiermaschinenseite wird jedoch 
im Unterschied zur erfindungsgemaBen Losung ein Postage 
Security Device zur Verschlusselung eingesetzt, das erfin- 
dungsgema'B. nun entfallen kann. 

Statt dessen hat die Festplatte 23 des zweiten Computers 
21 der Datenzentrale 20 speziell gesicherte Speicherberei- 
che zur Speicherung des privaten Schliissel, so daB letzterer 
nicht von extern ausgelesen werden kann. Alternativ kann 
ein separater Speicher, beispielsweise ein Halbleiterspei-- 
cher, zur sicheren Speicherung des privaten Schlussels ver- 
wendet werden, wobei der Speicher im Computer integriert 
und gegen unberechtigtes Auslesen gesichert ist. 

Es ist vorgesehen, daB der erste Computer 11 mittels eines 
Anwenderprogramms im Speicher programmiert ist, um 

- auf eine gespeicherte bestimmte Postempfangerad- 
resse zuzugreifen oder eine neu eingegebene be- 
stimmte Postempfangeradresse zwischenzuspeichern, 
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- Anforderungsdaten des Postabsenders per Konimu- 
nikationsmittel zur Datenzentrale zu iibermittein, wo- 
bei die Anforderungsdaten die ldentifikationsdaten des 
Postabsenders und Postversendungsdaten, einschlieB- 
lich die bestimmte Postempfangeradresse, umfassen, 
um die Richtigkeit der Postempfangeradresse mittels 
eines zweiten Computers zu bestatigen oder anhand ei- 
ner in der zentralen Datenbank gespeicherten AdreBda- 
tei herzustellen, 

- Daten zu empfangen, betreffend eine giiltige Post- 
empfangeradresse von einer in der zentralen Daten- 
bank gespeicherten AdreBdatei, einen giiltigen Porto- 
wert und eine Signatur, wobei der zweite Computer der 
Datenzentrale die angeforderten Daten nur mit einer 
Signatur ausstattet, wenn eine giiltige Postempfange- 
radresse in der zentralen Datenbank gespeichert ist, 
wobei eine Mitteilung erzeugt wird, wenn eine automa- 
tische Korrektur einer Postempfangeradresse unmog- 
lich ist, 

- die von der zentralen Datenbank empfangenen Da- 
ten einschlieBlich der Signatur zu verarbeiten, um ei- 
nen authentischen Frankierabdruck auf das Poststiick 
abzudrucken. 

Es ist weiterhin vorgesehen, die Authentizitat der zur 
Frankiereinrichtung ubermittelten empfangenen Daten an- 
hand der Signatur zu iiberprufen und bei Authentizitat die 
AdreBdatei in der lokalen Datenbank beziiglich der be- 
stimmte Postempfangeradresse zu aktualisieren. 

Das erfindungsgemaBe Verfahren zur Erzeugung eines 
gultigen Datenbestandes fur Frankierabdrucke urnfaBt fol- 
gende Schritte: 

- Bildung und Ubermittlung von Anforderungsdaten. 
mit welchen ein erster Computer der Frankiereinrich- 
tung von einem zweiten Computer einer Datenzentrale 
eine Signatur anfordert, wobei die Anforderungsdaten 
mindestens eine Informationsgruppe mit Postempfan- 
geradressendaten und ldentifikationsdaten einschlie- 
Ben, 

- Erzeugung einer Signatur auf der Basis verifizierter 
Daten unter Verwendung eines asymmetrischen Kryp- 
toalgorithmus und geheimen privaten Schlussels, so- 
wie 

- Ruckubermittlung der verifizierten Daten und der Si- 
gnatur zur Frankiereinrichtung, wobei die Authentizitat 
der zuruckubermittelten Daten anhand der Signatur un- 
ter Verwendung eines offentlichen Schlussels iiber- 
priifbar ist, sowie 

- Speicherung authenuscher empfangener Daten in ei- 
ner lokalen Datenbank. 



Es ist vorgesehen, daB vorri zweiten Computer in der Da- 
tenzentrale die Giiltigkeit von Daten Iiberpruft und erforder- 
lichenfalls hergestellt wird, daB die Signatur vom zweiten 
Computer in der Datenzentrale aus den angeforderten Daten 
generiert wird. Somit ist sic hergestellt, daB die vom Endge- 
rat empfangenen teilweise zuruckzuiibermittelnden giiltigen 
Daten vom zweiten Computer in der Datenzentrale mittels 
der Signatur miteinander verkniipft worden sind. Der erste 
Computer empfangt entsprechend der Anforderung uber 
Modem somit giiltige Daten. Es ist weiterhin vorgesehen, 
daB vom ersten Computer anhand von Daten der zur Daten- 
zentrale ubermittelten Informationsgruppe und Daten einer 
65 empfangenen Informationsgruppe ein Vergleich vorgenom- 
men wird, wobei mittels der- Signatur eine Authentizitiits- 
priifung hinsichtlich der empfangenen Informationsgruppe 
durchgefuhrt wird, wobei bci der Authentizitatsprufung ein 
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t offcntlicher Schliissel verwendet wird, welcher in der zen- 
tralen odcr einer lokalen Datenbank abrufbar gespeichert ist. 

Im Fallc einer fesLgestellten Abweichung zwischen den 
ubermittelten und empfangenen Daten im Ergebnis des Ver- 
gleiches wird der Datenbestand in der lokalen Datenbank 5 
nur dann aktualisiert, wenn die empfangenen Daten als au- 
thentisch gelten. Vom ersten Computer wird dann zu einem 
beliebig spateren Zeitpunkt aus den empfangenen Daten ein 
Druckbild generiert und ein Ausdrucken entsprechend ver- 
anlaBt. 10 

Dem Gleichhalten der PostempfangeradreBdaten in der 
lokalen Datenbank geht also eine Authentizitatspriifung an- 
hand der Signatur im Personalcomputer PC 1 voraus. Bei 
der Authentizitatspriifung wird ein offentlicher Schliissel 
verwendet, welcher von der zentralen oder einer lokalen Da- 15 
tenbank abrufbar ist. Der dffentliche Schliissel kann in ei- 
nem ungesicherten Speicherbereich zusarnrnen mit einem 
zugehorigen Datum fiir das Giiltigwerden gespeichert wer- 
den. 

Mit dem offentlichen Schliissel kann jederman aus der Si- 20 
gnatur durch En tschl Ossein die Nachricht zuriickgewinnen. 
Zwecks Vergleich wird eine Referencenachricht aus den 
ubermittelten Klardaten erzeugt, indem die dieselbe vorge- 
nannte spezielle mathematische Funktion zur Anwendung 
kommt, welche die Datenmenge reduziert. Bei Gleichheit 25 
der entschliisselten Nachricht mit der gebildeten Reference- 
nachricht ist die Authentizitat der Daten gegeben, deren 
Gultigkeit durch die Datenzentrale zumindest fur die Post- 
ernpfangeradresse gesichert wird. 

Auf ebensolche Weise kann anhand der Signatur in einem 30 
Postamt 50 oder in einer Posteinlieferungsstelle bzw. einem 
Institut eines privaten Postbeforderers mit der Authentizi- 
tatspriifung zugleich uberpriift werden, ob eine Abrechnung 
in der Datenzentrale erfolgt isL Zu diesem Zweck geht in die 
Signatur eine monoton steug veranderbare GroBe ein, wel- 35 
che zugleich in Klarschrift auf dem Poststiick ofFen aber 
mindestens maschinenlesbar abgedruckt wird. Eine solche 
GroBe sind beispielsweise die Zeitdaten zum Zeitpunkt des 
Abrufens der Signatur von der zentralen Datenbank oder die 
Stiickzahl. Zugleich werden anhand der aufgedruckten Zeit- 40 
daten bzw. Stiickzahl oder einer anderen GroBe in der Da- 
tenzentrale die Buchhaltungsdaten wiederauffindbar und so- 
mit die Bezahlung der Dienstleistung im Detail iiberprufbar. 

Das Postamt 50 bzw. beauftragte Institut kann dazu die 
Datenzentrale via Kommunikationsverbindung anrufen, um 45 
in deren Datenbank gespeicherte Daten abzufrageri. 

Ein Beispiel fiir einen Abdruck auf einem Poststiick wird 
anhand der Fig. 2 erlautert. Bei einem Brief ist das AdreB- 
feld zentral angeordnet. Die Posternpfangeradersse wird in 
Klarschrift und ein zugehoriger ZIP-Code wird als Barcode 50 
aUfgedruckt. Der Frankierabdruck ist in der Peripherie 
rechts oben angeordnet. Eine Absenderangabe in der Peri- 
pherie links oben angeordnet ist optional. Fiir die USPS 
wird ein ca. 1 Zoll breiter Frankierabdruck mit einem ma- 
schinenlesbaren Bereich erzeugt. Bestimmte Klardaten und 55 
die Signatur werden z. B. in eine PDF 417-Symbolik umge- 
setzt und gedruckt. Letztere ist von der Firrna Symbol Tech- 
nologies, inc. in EP439 682 Bl naher beschrieben worden. 
.Uber dem maschinenlesbaren Bereich ist der visuell (hu- 
man) lesbare Bereich und ein Bereich fiir den FIM-Code ge- 60 
maB der US-Postvorschriften angeordnet. Links davon liegt 
ein weiterer Druckbereich, welcher vorzugsweise zum 
Drucken eines Werbeklischees verwendet werden kann. We- 
gen des FTM-Codes ergibt sich fiir einen ca. 1 Zoll breiten 
Frankierabdruck ein ca. 11 bis 14 nun breiter visuell (hu- 65 
man) lesbarer Bereich. Somit kann die restliche Breite fiir 
den maschinenlesbaren Bereich verwendet werden. 

Die zur Datenzentrale ubermittelten Anforderungsdaten 
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konnen in einer bevorzugten ersten Ausfuhrungsvariante zu- 
satzlich den Postwcrt, weitere Postversendungsdaten und 
eine monoton stetig veranderbare GroBe einschlieBen. Der 
Postwert und weitere Postversendungsdaten (EXPRESS, 
AIR MAIL. . . .,) werden uber die Tastatur 14 des Personal- 
computers PC 1 vom Benutzer fiir jeden Brief eingegeben. 

Die Speicherung der Abrechnung bzw. Buchhaltungsda- 
ten entsprechend weiterer Dienstleistungen erfolgt in der 
zentralen Datenbank. Da die Abrechnung der Postbeforde- 
rung in der Datenzentrale kundenspezifisch vorgenommen 
wird, kann eine Manipulation der Abrechnungsdaten in Fal- 
schungsabsicht ausgeschlossen werden. Eine lokale Porto- 
box bzw. ein Meter ist beim Benutzer der Frankiereinrich- 
tung unnotig. Die Festplatte 23 enthalt zur Buchung vorge- 
sehene Speicherbereiche, entsprechend der vereinbarten 
Abrechnungsart und Dienstleistungsart. Zur Erhohung der 
Sicherheit vor Datenverlust existiert mindestens eine wei- 
tere - nicht gezeigte - Festplatte 23' in der Datenzentrale, in 
welcher eine redundante Speicherung aller Daten erfolgt 

Eine Abrechnungsart fur vorgenannten Dienstleistung der 
Postbeforderung ist eine kumulative Abrechnung am Mo- 
natsende, wobei der kumulative Betrag von einem Kunden- 
konto bei einer Bank oder einem vergleichbaren Kreditinsti- 
tut gemaB dem Lastschriftverfahren abgebucht wird. Es 
kann ebenso eine andere Abrechnungsart, beispielsweise 
Sofortbezahlung oder Vorausbezahlung, vereinbart werden. 
Mit dem Kunden kann eine entsprechende Vereinbarung zu 
unterschiedlichen Abrechnungsarten fur unterschiedliche 
Dienstleistungen getroffen werden. 

Es ist in einer zweiten Ausfuhrungsvariante vorgesehen, 
daB Versendungsdaten iibermittelt und auBerdem die Dienst- 
leistung einer Portoberechnung in der Datenzentrale durch- 
gefiihrt wird, wobei die kumulierten Dienstleismngskosten 
periodisch, beispielsweise am Tagesende, dem Kunden in 
Rechnung gestellt werden. Dazu ist es vorteilhaft, daB die 
Anforderungsdaten, welche zusarnrnen mit der AdreBdaten 
und weiteren Versendungsdaten zur Datenzentrale iibermit- 
telt werden, auch Identifikationsdaten ID umfassen. Unter 
Identifikationsdaten ID sollen eine Identinkationsnummer 
des Kunden bzw. des Postabsenders oder die Maschinense- 
riennummer, oder die Absendeadresse verstanden werden. 
Um Betriigereien auszuschlieBen, wo ein anderer Absender 
vorgetauscht wird, ist es weiterhin vorgesehen, daB solche 
Identifikationsdaten in die Signatur ebenfalls mit eingehen. 
Die Datenzentrale erzeugt eine Signatur aus den ubermittel- 
ten Anforderungsdaten, wie Posternpfangeradresse und 
Identifikationsdaten, sowie einer erzeugten monoton stetig 
veranderbare GroBe und dem Porto wert mit Hilfe eines pri- 
vaten Schliissels und eines asymmetrischen Verschliissel- 
ungsalgorithmus. 

Wenn aber andererseits wie bei der ersten Ausfuhrungs- 
variante die Dienstleistung einer Portoberechnung nicht in 
der Datenzentrale sondern in der Frankiereinrichtung durch- 
gefuhrt wird, konnen solche Kosten nicht dem Kunden auf- 
geburdet werden, sondern vielmehr ist ein Rabatt zu gewah- 
ren, da der Computer der Datenzentrale durch solche Be- 
rechnungen nicht unnotig blockiert wird. 

Bei der zweiten Ausfuhrungsvariante ist vorgesehen, daB 
die empfangenen teil weise zuriickubermittelten Daten einen 
in der Datenzentrale berechneten Portowert, eine Empfan- 
geradresse, Identifikationsdaten, Datenzentrale eine mono- 
ton stetig veranderbare GroBe und eine Signatur einschlie- 
Ben, wobei die Datenzentrale die monoton stetig verander- 
bare GroBe generiert und aus den ubermittelten Anforde- 
rungsdaten, wie Posternpfangeradresse und Identifikations- 
daten sowie aus weiteren ubermittelten Versendungsdaten 
den Portowert nach einem gultigen Tarif ermittelt. Bei einer 
Maximalvariante werden die Anforderungsdaten gleich fur 
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mehrere Briefe erzeugt, die der Benutzer an seinem Perso- 
nalcomputer PC 1 erstellt hat, welcher zugleich Bestandteil 
der Frankiereinrichtung ist. Entsprechend der Anzahl der 
Briefe wird dann auch eine Anzahl von verschiedenen Si- 
gnaturen zugeordnet zu den AdreB- und Frankierdaten er- 5 
zeugt. Die zuriickubermittelten Daten lassen sich uber die 
AdreBdaten den unterschiedlichen Brief en zuordnen. 

Als alternative Versendungsinformation zum Gewicht 
kann die Anzahl und das Format und das Gewicht der ein- 
zelnen Brief seiten je Brief ubermittelt werden. Das Briefge- 10 
wicht laBt sich daraus in der Datenzentrale ermitteln, ohne 
daB beim lokalen Benutzer eine Brief waage an die Frankier- 
einrichtung angeschlossen werden muB. Gegebenen falls er- 
offnet die Datenzentrale wahrend der Kommunikation einen 
Userdialog via dern Display 12 mit dern Benutzer, um die 15 
Daten zu vervollstandigen, welche zur Portoberechnung er- 
forderlich sind. 

Bei einer Minimalvariante, wird lediglich eine Signatur 
fur folgende Informationen Postempfangeradresse, Post- 
wert, Identifikationsdaten, Stuckzahlwert angefordert. Der 20 
Stuckzahlwert ist ein durch einen Numerateur erzeugter un- 
verschlusselter Stuckzahlaufdruck. Durch einen Numera- 
teur wird bereits ein hinreichender Schutz gegenuber Ko- 
pien des Abdruckes erreicht. Bei Abholung der gesammel- 
ten Post durch einen Angestellten des Postbefordereres 25 
konnten bereits die Absender-Identifikationsdaten und der 
vom Numerateur erreichte Zahlstand mit den aufgedruckte 
^Werten verglichen werden. 

> Die Wahrscheinlichkeit ist auch dafiir gering, daB zum 
selben Absendedatum ein gleich groBes und gleich schweres 30 
Posts tuck an den selben Postempfanger geschickt wird. Die 
Wahrscheinlichkeit kann weiter verringert werden, indem 
gefordert wird, daB die Uhrzeitdaten zusatzlich auf das Post- 
stuck mit aufgedruckt werden. Die Zeitdaten konnen alter- 
nativ durch eine genaue Uhr - nicht gezeigt - von der Daten- 35 
zentrale bereitgestellt werden. 

Es ist in einer weiteren Variante vorgesehen, daB alle auf 
das Poststuck aufzudruckenden Daten zuvor zentral gespei- 
chert werden. In dem Postamt kann die eingelieferte Post 
unter Mitwirkung der zentral gespeicherten Daten daraufhin 40 
uberpruft werden, ob Kopien eines Abdruckes in Fal- 
schungsabsicht benutzt werden. Zu jedem eingelieferten 
Poststuck kann ein Eintrag in der zentralen Datenbank in ei- 
nem besonderen Bereich vorgenommen werden. Ein dop- 
pelter Eintrag in der Datenbank deutet dann auf einen ge- 45 
falschten Abdruck hin. Durch die Verkniipfung der Post- 
empfangeradresse mit dem Postwert und Stiickzahl uber die 
Signatur, ist es getrennt voneinander unmoglich, eines der 
beiden Postempfangeradresse bzw. Postwert fur Manipulau- 
onzwecke zu kopieren. 50 

Es ist weiterhin vorgesehen, daB ein jedes Senilis selpaar, 
bestehend aus einem privaten Schlussel und einem offentli- 
chen Schlussel, zeitlich limitiert gultig ist und plotzlich zu 
einem bestimmten Datum und Uhrzeit von der Datenzen- 
trale gewechselt werden kann. Die zeitlichen Abstande des 55 
Wechselns ergeben sich entsprechend dem aktuell erreich- 
ten Fortschritten bei modemen Analyseverfahren, beispiels- 
weise der differenziellen Kryptoanalyse, und sind so bemes- 
sen, daB ein Angriff auf die Sicherheit des Systems mit ho- 
her Wahrscheinlichkeit scheitern muB. 60 

Die Erfindung ist nicht auf die vorliegenden Ausfiih- 
rungsform beschrankt, da offensichtlich weitere andere An- 
ordnungen bzw. Ausfuhrungen der Erfindung entwickelt 
bzw. eingesetzt werden konnen, die vom gleichen Grundge- 
danken der Erfindung ausgehend, die von den anliegenden 65 
Anspruchen umfaBt werden. 
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Paten tanspriiche 

1. Frankiereinrichtung, mit einem ersten Computer 
und mit einem angeschlossenen Drucker, wobei der 
Computer einen Speicher mit einer lokalen Datenbank 
fur PostempfangeradreBdateien und ein Kommunikati- 
onsmittel enthalt, wobei der erste Computer uber das 
Kommunikationsmittel mit einer Datenzentrale ver- 
bunden ist, welche einen zweiten Computer mit einer 
zentralen Datenbank aufweist, gekennzeichnet da- 
durch, daB der erste Computer prograrnmiert ist, 

- auf eine gespeicherte bestimmte Postempfange- 
radresse zuzugreifen oder eine neu eingegebene 
bestimmte Postempfangeradresse zwischenzu- 
speichern, 

- Anforderungsdaten des Postabsenders per 
Kommunikationsmittel zur Datenzentrale zu 
ubermitteln, wobei die Anforderungsdaten die 
Identifikationsdaten des Postabsenders und Post- 
versendungsdaten, einschlieBlich die bestimmte 
Postempfangeradresse, umfassen, um die Richtig- 
keit der Postempfangeradresse mittels des zweiten 
Computers zu bestatigen oder anhand einer in der 
zentralen Datenbank gespeicherten AdreBdatei 
herzustellen, 

- Daten zu empfangen, betreffend eine guluge 
Postempfangeradresse von einer in der zentralen 
Datenbank gespeicherten AdreBdatei, einen gulti- 
gen Porto wert und eine Signatur, wobei der zweite 
Computer der Datenzentrale die angeforderten 
Daten nur mit einer Signatur ausstattet, wenn eine 
gultige Postempfangeradresse in der zentralen 
Datenbank gespeichert ist, wobei eine Mitteilung 
erzeugt wird, wenn eine automatische Korrektur 
einer Postempfangeradresse unmoglich ist, 

- die von der zentralen Datenbank empfangenen 
Daten einschlieBlich der Signatur zu verarbeiten, 
um einen authentischen Frankierabdruck auf das 
Poststuck abzudrucken. 

2. Frankiereinrichtung, nach Anspruch 1, gekenn- 
zeichnet dadurch, daB der erste Computer weiterhin 
prograrnmiert ist, die Authentizitat der zur Frankierein- 
richtung ubermittelten empfangenen Daten anhand der 
Signatur zu uberprufen und bei Authentizitat die 
AdreBdatei in der lokalen Datenbank beziiglich der be- 
stimmte Postempfangeradresse zu aktualisieren. 

3. Frankiereinrichtung, nach Anspruch 1, gekenn- 
zeichnet dadurch, daB der erste Computer weiterhin 
prograrnmiert ist, die Anforderungsdaten zu bilden, 
wobei die Postversendungsdaten den gewiinschten 
Frankierwert einschlieBen. 

4. Verfahren zur Erzeugung guldger Daten fur Fran- 
kierabdrucke, wobei von einer Frankiereinrichtung An- 
forderungsdaten gebildet und zu einer Datenzentrale 
ubermittelt und angeforderte Daten zuruckubermittelt 
und gespeichert werden, gekennzeichnet durch die 
Schritte: 

- Bildung und Ubermitdung von Anforderungs- 
daten, mit welchen ein erster Computer der Fran- 
kiereinrichtung von einem zweiten Computer ei- 
ner Datenzentrale eine Signatur anfordert, wobei 
die Anforderungsdaten mindestens eine Infonna- 
tionsgruppe mit Postempfangeradressendaten und 
Identifikationsdaten einschlieBen, 

- Verifikation von ubermittelten Daten in einer 
Datenzentrale, 

- Erzeugung einer Signatur auf der Basis verifi- 
zierter Daten unter Verwendung eines asynimelri- 
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schen Kryptoalgorithmus und geheimen privaten 
Schlussels, sowie 

- Ruckiibermittlung der verifizierten Daten und 
der Signatur zur Frankiereinrichtung, wobei die 
Authentizitat der zuruckiibermittelten Daten an- 
hand der Signatur unter Verwendung eines offent- 
lichen Schlussels iiberpriifbar ist, sowie 

- Speicherung authentischer empfangener Daten 
in einer lokalen Datenbank. 

5. Verfahren, nach Anspruch .4, gekennzeichnet da- 
durch, 

- daB vom zweiten Computer in der Datenzen- 
trale die Gultigkeit von Daten iiberpruft und erfor- 
derlichenfalls hergestellt wird, daB die Signatur 
vom zweiten Computer in der Datenzentrale aus 
den angeforderten Daten generiert wird, wobei die 
teilweise zuruckzuubermittelnden Daten vom 
zweiten Computer in der Datenzentrale mittels 
der Signatur miteinander verkniipft werden, 

- daB der erste Computer entsprecbend der An- 
forderung uber Modem giiltige Daten empfangt, 

- daB vom ersten Computer anhand von Daten 
der zur Datenzentrale ubermittelten Informations- 
gruppe und Daten einer ernpfangenen Informati- 
onsgruppe ein Vergleich vorgenommen wird, wo- 25 
bei mittels der Signatur eine Authentizitatsprii- 
fung hinsichtlich der ernpfangenen Informations- 
gruppe durchgefuhrt wird, wobei bei der Authen- 
tic tatspriifung ein offentlicher Schlussel verwen- 
det wird, welcher in der zentralen oder einer loka- 
len Datenbank abrufbar gespeichert ist, 

- daB im Falle einer festges tell ten Abweichung 
zwischen den ubermittelten und ernpfangenen Da- 
ten im Ergebnis des Vergleiches der Datenbestand 
in der lokalen Datenbank nur dann aktualisiert 
wird, wenn die ernpfangenen Daten als authen- 
tisch gelten, sowie 

- daB vom ersten Computer aus den ernpfange- 
nen Daten ein Druckbild generiert und ein Aus- 
drucken entsprechend veranlaBt wird. 

6. Verfahren, nach Anspruch 5, gekennzeichnet da- 
durch, daB die zur Datenzentrale ubermittelten Anfor- 
derungsdaten zusatzlich den Postwert, weitere Postver- 
sendungsdaten und eine monoton stetig veranderbare 
GroBe einschlieBen. 

7. Verfahren, nach Anspruch 5, gekennzeichnet da- 
durch, daB die ernpfangenen teilweise zuruckubermit- 
telten Daten einen in der Datenzentrale berechneten 
Portowert, eine Empfanderadresse, Identifikationsda- 
ten, Datenzentrale eine monoton stetig veranderbare 
GroBe und eine Signatur einschlieBen, wobei die Da- 
tenzentrale die monoton stetig veranderbare GroBe ge- 
neriert und aus den ubermittelten Anforderungsdaten, 
wie Postempfangeradresse und ldentifikationsdaten so- 
wie aus weiteren ubermittelten Daten den Portowert 
nach einem gultigen Tarif ermittelt, sowie aus den 
ubermittelten Anforderungsdaten, wie Postempfange- 
radresse und ldentifikationsdaten, sowie der erzeugten 
monoton stetig veranderbare GroBe und dem Portowert 
mit Hilfe eines privaten Schlussels und eines asymme- 
trischen Verschlusselungsalgorithmus eine Signatur er- 
zeugt. 

8. Verfahren, nach den Anspruchen 6 oder 7, gekenn- 
zeichnet dadurch, daB die monoton stetig veranderbare 
GroBe eine zeitbezogene GroBe ist. 

9. Verfahren, nach den Anspruchen 6 oder 7, gekenn- 
zeichnet dadurch, daB die monoton stetig veranderbare 
GroBe eine Stiickzahl an abgerechneten Poststucken 
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10. Verfahren, nach den Anspruchen 4 und 5 oder 7, 
gekennzeichnet dadurch, daB ein jedes Schliisselpaar 
aus privaten Schlussel und einem offentlichen Schlus- 
sel zeitlich limitiert gultig ist und plotzlich zu einem 
bestirnmten Datum und Uhrzeit von der Datenzentrale 
gewechselt werden kann. 
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